首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
社区
付费问答
发新帖
0
0
[旧帖]
[求助]怎么实现进程黑名单功能
0.00雪花
发表于: 2013-12-12 17:05
1873
[旧帖]
[求助]怎么实现进程黑名单功能
0.00雪花
feizainju
2013-12-12 17:05
1873
最近想实现一个windows下的进程黑名单功能,目前有两种实现思路
1)ssdt hook
hook进程创建过程中用到的某个函数 ,进行黑名单过滤
2)回调函数
使用如PsSetCreateProcessNotifyRoutine 的回调函数,写一个内核驱动,注册回调,在自己的回调函数中进行过滤
自己趋向于使用方法2,目前知道回调机制能实现注册表操作的拦截,但是不知道能否实现进程创建的拦截和禁止?如果能该怎么实现?
谢谢各位
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
2
)
lvbenke
雪 币:
142
活跃值:
(55)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
53
粉丝
1
关注
私信
lvbenke
2
楼
PsSetCreateProcessNotifyRoutine 这个函数不能实现拦截和阻止,只能监控进程创建和关闭PsSetCreateProcessNotifyRoutine EX 这个函数可以的。但是这个函数只能在xp之后的版本可以调用
2013-12-16 16:40
0
lovelyday
雪 币:
31
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
169
粉丝
0
关注
私信
lovelyday
3
楼
监控到黑名单的进程,根据ProcessId找到EPROCESS,然后打开,然后Terminte掉,搞定
2013-12-17 22:57
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
feizainju
2
发帖
2
回帖
10
RANK
关注
私信
他的文章
[求助]怎么实现进程黑名单功能
1874
[求助]文件过滤驱动获得全路径失败
870
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
返回
顶部